GrayAlpha: Neue Bedrohung durch raffinierte Malware-Angriffe

LONDON (IT BOLTWISE) – Die Cyberkriminalität entwickelt sich stetig weiter, und die jüngsten Enthüllungen über die Aktivitäten der GrayAlpha-Gruppe verdeutlichen dies eindrucksvoll. Diese Gruppe, die in Verbindung mit der berüchtigten FIN7 steht, hat eine neue Infrastruktur aufgebaut, um ihre Angriffe noch effektiver zu gestalten.

Die GrayAlpha-Gruppe, die seit mindestens 2013 aktiv ist, hat sich auf Angriffe im Einzelhandel, Gastgewerbe und Finanzsektor spezialisiert. Ihre jüngsten Aktivitäten zeigen eine bemerkenswerte Weiterentwicklung ihrer Methoden, insbesondere durch den Einsatz maßgeschneiderter Malware. Zu den entdeckten Schadprogrammen gehört der PowerShell-Loader PowerNet, der entwickelt wurde, um den NetSupport RAT, einen häufig missbrauchten Remote-Access-Trojaner, zu entpacken und auszuführen.

Zusätzlich wurde ein zweiter Loader namens MaskBat entdeckt, der Ähnlichkeiten mit der bekannten FakeBat-Malware aufweist, jedoch stark verschleiert ist und einzigartige Merkmale aufweist, die auf die Operationen von GrayAlpha hinweisen. Diese Entdeckungen unterstreichen die kontinuierliche Innovation der Gruppe, um Erkennung zu vermeiden und den Zugang zu kompromittierten Systemen aufrechtzuerhalten.

Die Insikt Group hat drei Hauptinfektionsvektoren identifiziert, die GrayAlpha zur Verbreitung von NetSupport RAT einsetzt. Dazu gehören gefälschte Browser-Update-Seiten, die legitime Dienste wie Google Meet, SAP Concur und LexisNexis imitieren und seit April 2024 aktiv sind. Diese Seiten täuschen Benutzer dazu, schädliche Nutzlasten herunterzuladen, indem sie scheinbar harmlose Aufforderungen anzeigen.

Ein weiterer Vektor umfasst betrügerische 7-Zip-Download-Seiten, die mit neu registrierten Domains arbeiten, die zuletzt im April 2025 aufgetaucht sind. Der dritte Infektionsweg nutzt das bisher undokumentierte TAG-124-Traffic-Distribution-System (TDS), was die Fähigkeit von GrayAlpha unterstreicht, weniger bekannte Liefermechanismen auszunutzen.

Die Analyse der Infrastruktur zeigt eine starke Abhängigkeit von bulletproof Hosting-Anbietern wie Stark Industries Solutions und mit Baykov Ilya Sergeevich verbundenen Entitäten. Diese Anbieter unterstützen die Persistenz der bösartigen Domains und IP-Adressen von GrayAlpha trotz Eindämmungsbemühungen. Diese Hosts haben in der Vergangenheit FIN7-Malware wie POWERTRASH und DiceLoader unterstützt, was die Überschneidung mit GrayAlphas Vorgehensweise verstärkt.

Die gefälschten Update-Seiten verwenden häufig Fingerprinting-Skripte mit Funktionen wie getIPAddress() und trackPageOpen(), die Opferdaten an CDN-ähnliche Domains weiterleiten, bevor sie Nutzlasten über Endpunkte wie /download.php liefern. Dieser mehrstufige Ansatz stellt sicher, dass nur gezielte Systeme die Malware erhalten, was die Erkennung erschwert.

Historische Daten zeigen, dass FIN7 bereits 2023 typosquattierte Domains wie advanced-ip-sccanner[.]com genutzt hat, um Carbanak-Backdoors zu verbreiten, was auf ein langjähriges Muster von Imitationstaktiken hinweist, das nun von GrayAlpha verfeinert wurde. Die operative Widerstandsfähigkeit der Gruppe, selbst nach hochkarätigen Anklagen gegen FIN7-Führer durch das US-Justizministerium im Jahr 2018, deutet auf eine tief gegliederte Struktur hin, die einem professionellen Unternehmen ähnelt, mit spezialisierten Teams für Malware-Entwicklung, Phishing und Aktivitäten nach dem Kompromiss.

Verteidiger werden aufgefordert, strenge Anwendungs-Whitelistings zu implementieren, um täuschende Downloads zu blockieren, und Mitarbeiterschulungen durchzuführen, die sich auf die Erkennung von Malvertising und verdächtigen Aufforderungen konzentrieren. Erkennungsregeln wie YARA-Signaturen und Netzwerküberwachungstools wie Recorded Future Network Intelligence sind entscheidend, um sich entwickelnde Bedrohungen zu identifizieren. Da die Cyberkriminalität weiter professionalisiert wird und Gruppen wie GrayAlpha die Beharrlichkeit staatlich geförderter APTs widerspiegeln, müssen Organisationen wachsam und anpassungsfähig bleiben, um dieser wachsenden Bedrohung entgegenzuwirken.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!